AllaKore RAT はメキシコの金融機関を標的に
最近のスピア フィッシング キャンペーンでは、メキシコの金融機関が標的となり、オープンソースのリモート アクセス トロイの木馬である AllaKore RAT の修正版が配布されました。 BlackBerry Research and Intelligence チームは、この活動を、少なくとも 2021 年から活動している、ラテンアメリカを拠点とする金銭目的の正体不明の攻撃者によるものであることを突き止めました。
このキャンペーンでは、メキシコ社会保障協会 (IMSS) の命名規則を利用したおとりが使用されており、インストール プロセス中に一見正当な文書へのリンクが含まれています。改変された AllaKore RAT ペイロードにより、攻撃者は盗んだ銀行認証情報と固有の認証詳細をコマンド アンド コントロール (C2) サーバーに送信し、金融詐欺を容易にすることができます。
この攻撃は、小売、農業、公共部門、製造、運輸、商業サービス、資本財、銀行などのさまざまな部門にわたって、総収益が1億ドルを超える大企業を特にターゲットにするように調整されているようです。
AllaKore RAT 感染チェーン
感染プロセスは、フィッシングまたはドライブバイ侵害によって配布された ZIP ファイルから始まります。この ZIP ファイルには、被害者のメキシコの地理位置情報を確認する役割を担う .NET ダウンローダーを展開する MSI インストーラー ファイルが含まれています。その後、2015 年に最初に特定された Delphi ベースの RAT である、変更された AllaKore RAT が取得されます。
BlackBerry によると、AllaKore RAT はやや基本的なものであると説明されていますが、キーロギング、画面キャプチャ、ファイルのアップロード/ダウンロード、被害者のマシンのリモート制御などの強力な機能を備えています。この攻撃者は、メキシコの銀行と仮想通貨取引プラットフォームを標的として、銀行詐欺に関連する機能を追加することでマルウェアを強化しました。これらの追加機能には、リバース シェルの起動、クリップボードのコンテンツの抽出、追加のペイロードのフェッチと実行の機能が含まれます。
この攻撃者が中南米と関係していることは、キャンペーンでメキシコの Starlink IP が使用されていることと、改変された RAT ペイロードにスペイン語の命令が含まれていることによって証明されています。さらに、使用されているおとりは、メキシコ社会保障研究所 (IMSS) 部門に直接報告できる十分な規模の企業向けに特別に設計されています。